A Monitorização do Trabalhador e o RGPD

(1)

Dissertação

Mestrado em Solicitadoria de Empresa

A Monitorização do Trabalhador e o RGPD

Carolina Sofia Mendes Ferreira

(2)

ii

(3)

iii

Dissertação

Mestrado em Solicitadoria de Empresa

A Monitorização do Trabalhador e o RGPD

Carolina Sofia Mendes Ferreira

Dissertação de Mestrado realizada sob a orientação do Doutor Jorge Barros Mendes, Professor da Escola Superior de Tecnologia e Gestão do Instituto Politécnico de Leiria.

(4)

iv

(5)

v

Originalidade e Direitos de Autor

A presente dissertação é original, elaborada unicamente para este fim, tendo sido devidamente citados todos os autores cujos estudos e publicações contribuíram para a elaborar.

Reproduções parciais deste documento serão autorizadas na condição de que seja mencionada a Autora e feita referência ao ciclo de estudos no âmbito do qual a mesma foi realizada, a saber, Curso de Mestrado em Solicitadoria de Empresa, no ano letivo 2018/2019, da Escola Superior de Tecnologia e Gestão do Instituto Politécnico de Leiria, Portugal, e, bem assim, à data das provas públicas que visaram a avaliação destes trabalhos.

(6)

vi

(7)

vii

Agradecimentos

Ao meu orientador, o Dr. Jorge Barros Mendes, por mesmo tendo mil outras coisas para fazer conseguir dispensar um pouco do seu escasso tempo comigo nesta dissertação e por ser a minha maior referência em matéria de proteção de dados pessoais.

Aos meus pais, por me ensinarem que a liberdade e a independência se conjugam com trabalho e responsabilidade.

À Patrícia, por tudo o que sempre fez por mim e por desde cedo me ter proporcionado a oportunidade de ter uma melhor amiga para brincar, desabafar, aconselhar, chatear e fazer as pazes, a quem chamo de irmã.

Ao meu namorado, por ser o meu suporte diário de felicidade, apoio e motivação. Aquele que me ouve quando estou irritada e está comigo a festejar as vitórias. Aquele que me aguenta nos dias maus e nos dias bons. Aquele que faz parte do meu passado, presente e futuro. O nosso futuro!

A todos os meus amigos, colegas de curso e colegas de trabalho que comigo privaram e tornaram estes 5 anos de mudança e superação, mais leves e fáceis de ultrapassar.

A todos os professores, não só da Escola Superior de Tecnologia e Gestão do Instituto Politécnico de Leiria, mas também do Colégio Dr. Luís Pereira da Costa, por todos os conhecimentos que me transmitiram e por serem um suporte base da nossa sociedade que nem sempre é devidamente reconhecido.

(8)

viii

(9)

ix

Resumo

A relação laboral inerente à realização de um contrato de trabalho acarreta inúmeros direitos e deveres, tanto para o trabalhador como para a entidade empregadora. A recolha e tratamento de dados pessoais é uma consequência desse contrato.

Sendo o trabalhador a parte mais frágil da relação, visto estar em situação de inferioridade relativamente à entidade para a qual presta a sua atividade, deve ter mecanismos legais para reivindicar os seus direitos e cumprir os seus deveres, o que ocorre por determinação do Código do Trabalho.

Com a instituição do Regulamento Geral de Proteção de Dados esclareceram-se algumas questões relativas à proteção de dados pessoais dos trabalhadores, visto que uma monitorização do trabalhador deve ser realizada com ponderação e no cumprimento de normas legais.

Mais recentemente, Portugal transpôs para a sua ordem jurídica a Lei nº 58/2019, de 8 de agosto, que assegura a execução a nível nacional do Regulamento Geral de Proteção de Dados.

Deste modo, com a presente dissertação de mestrado pretendeu-se analisar as várias vertentes da relação laboral, desde a procura de emprego, a plena execução do contrato de trabalho e a sua cessação. Problematizando o sistema da monitorização do trabalho e o impacto do Regulamento Geral de Proteção de Dados nas relações laborais.

Palavras-chave: “dados pessoais”, “RGPD”, “trabalhador”, “monitorização”, “entidade

(10)

x

(11)

xi

Abstract

The labour relationship involved in an employment contract entails countless rights and duties, both for the employee as for the employer. The gathering and processing of personal data is a consequence of such a contract.

Considering employees as the weakest link in the relationship, once there is a position of inferiority towards the employers they work for, employees should have access to legal mechanisms to claim their rights and comply with their duties, as determined by the Labour Code.

When the General Data Protection Regulation was issued, some questions were raised regarding the protection of employees’ personal data, since employee monitoring should be performed thoughtfully and considering legal regulations.

Recently, Portugal enacted Law nº 58/2019, of 8th of August, assuring the national enforcement of the General Data Protection Regulation.

Thus, this Master’s Thesis intends to examine the diverse angles in a labour relationship, from searching for a job vacancy to the full enforcement of an employment contract and its termination, questioning the labour monitoring system and the impact of the General Data Protection Regulation.

(12)

xii

(13)

xiii

Lista de siglas e acrónimos

Ac. – Acórdão

ACT – Autoridade para as Condições do Trabalho

AIPD – Avaliação de Impacto sobre a Proteção de Dados

Al./Als. – Alínea/Alíneas

ARCO – Acceso, Rectificación, Cancelación y Oposición

Art./Arts. – Artigo/Artigos

BYOD – Bring Your Own Device

CC – Código Civil

CDFUE – Carta dos Direitos Fundamentais da União Europeia

CEDH – Convenção Europeia dos Direitos do Homem

CNPD – Comissão Nacional de Proteção de Dados

CPC – Código de Processo Civil

CRCivil – Código do Registo Civil

CRP – Constituição da República Portuguesa

CT – Código do Trabalho

DPO – Encarregado de Proteção de Dados, em inglês “Data Proteccion Officer”

ETT – Empresa de Trabalho Temporário

GT29 – Grupo de Trabalho do Artigo 29º

IEFP – Instituto de Emprego e Formação Profissional

IRCT – Instrumento de Regulamentação Coletiva de Trabalho

MDM – Mobile Device Management

(14)

xiv

NISS – Número de Identificação de Segurança Social

Nº/Nos – Número/ Números

P./PP. – Página/Páginas

RGPD – Regulamento Geral de Proteção de Dados

UE – União Europeia

WP243 rev.01 – Orientações sobre os encarregados da proteção de dados (EPD)

WP259 rev.01 – Orientações relativas ao consentimento na aceção do Regulamento (EU) 2016/679

WP260 rev.01 – Orientações relativas à transparência na aceção do Regulamento 2016/679

(15)

xv

Índice

Originalidade e Direitos de Autor... v

Agradecimentos ... vii

Resumo ... ix

Abstract ... xi

Lista de siglas e acrónimos ... xiii

Introdução ... 1

Considerações gerais relativas à proteção de dados pessoais dos trabalhadores ... 3

2.1. Direito à reserva da intimidade da vida privada ... 3

2.2. Direito à desconexão ... 4

2.3. Subordinação jurídica ... 7

Princípios do Regulamento Geral de Proteção de Dados e sua aplicabilidade na relação laboral ... 9

3.1. A licitude, finalidade e proporcionalidade da recolha de dados pessoais ... 11

3.2. O consentimento ... 15

3.3. Os novos direitos dos titulares dos dados estabelecidos no RGPD ... 23

3.4. Tratamento de dados sensíveis ... 36

A monitorização do trabalhador ... 39

4.1. O registo dos tempos de trabalho ... 39

(16)

xvi

4.3. Os meios de vigilância à distância e o teletrabalho ... 49

O papel do DPO em articulação com o responsável pelo tratamento nos RH de uma empresa ... 59

5.1. O estabelecimento da relação laboral ... 61

5.1.1. Procura ativa de emprego e consequente processo de recrutamento ... 62

5.1.2. O início da relação laboral, seu desenvolvimento e término ... 71

5.2. O armazenamento de dados pessoais ... 82

Conclusão ... 85

(17)

1

Introdução

Hoje em dia estamos na era digital!

A era em que estamos omnipresentes sem estarmos presentes. A comunicação tornou-se mais simples e impessoal, já que o contacto físico facilmente é substituído pela utilização de meios de comunicação à distância, como smartphones.

Por conseguinte, as relações laborais também sofreram alterações. O que antes era realizado em papel, hoje é realizado digitalmente. Noutros tempos, o direito à desconexão não existia por não se revelar necessário. Afinal ao terminar a jornada laboral não existia outro meio de comunicação entre entidade empregadora e trabalhador. Atualmente, a realidade revela-se díspar, nomeadamente com a existência de smartphones. Também a comunicação entre trabalhador e entidade empregadora se tornou mais acessível, mas também mais intrusiva da vida pessoal do trabalhador.

O quotidiano laboral também sofreu alterações. Anteriormente, o registo dos tempos de trabalho era realizado pela aposição da assinatura do trabalhador de forma a confirmar o horário de trabalho desempenhado, sendo mais fácil colmatar atrasos e, bem assim, excesso de período normal de trabalho. Atualmente, na maioria das empresas, este registo dos tempos de trabalho não é realizado tendo por base a confiança no trabalhador, mas sim em sistemas biométricos, que funcionam através da impressão digital, da íris ou formato do rosto. Estes sistemas são mais fidedignos, mas também mais invasivos da esfera privada do trabalhador que vê um dado pessoal seu, como a impressão digital, a íris, a constar de uma base de dados da entidade empregadora, motivo pelo qual o trabalhador não se pode desvincular da sua monitorização.

O trabalhador é a parte mais fraca da relação laboral, visto ser subordinado juridicamente da entidade empregadora. Deste modo, a proteção da monitorização dos seus dados pessoais deve ser uma constante diária de todos os que lidam diariamente com os mesmos. Atento o disposto no art. 4º do Regulamento Geral de Proteção de Dados, doravante RGPD, dados pessoais são toda a informação relativa a uma pessoa singular

identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação,

(18)

2

dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular. Quer isto dizer que, sendo o trabalhador sujeito a

subordinação jurídica por parte de uma entidade empregadora que lida com os seus dados pessoais para o cabal cumprimento do contrato de trabalho, este deve ter especial proteção da sua monitorização desmedida.

Deste modo, o objetivo da presente dissertação passa por uma análise exaustiva da monitorização do trabalhador, problematizando as suas diversas vertentes, em harmonia com o RGPD, a Lei nº 58/2019, de 8 de agosto, o Código do Trabalho, doravante CT, na sua Lei nº 7/2009, de 12 de fevereiro e demais legislação específica.

(19)

3

Considerações gerais relativas à proteção de

dados pessoais dos trabalhadores

O Direito ao Trabalho está consagrado constitucionalmente no art. 58º da Constituição da República Portuguesa, doravante CRP, referindo que todos têm direito ao trabalho. Esse mesmo direito é regulado por normas legais e contratuais, regidas pelo princípio da boa fé de ambas as partes.

O trabalhador por conta de outrem celebra com a sua entidade empregadora um contrato de trabalho escrito. De forma a que a entidade empregadora cumpra o dever de informação que recaí sobre si. Contrato de trabalho é aquele pelo qual uma pessoa

singular se obriga, mediante retribuição, a prestar a sua atividade a outra ou outras pessoas, no âmbito de organização e sob a autoridade destas, conforme dispõe o art. 11º

do CT.

No que ao nosso tema concerne, iremos focar-nos, embora de forma não exaustiva e sem o intuito de os esgotar, nos três grandes pilares do CT português que fazem a ligação ao RGPD, a saber: 1) o direito à reserva da intimidade da vida privada; 2) a subordinação jurídica e; 3) o direito à desconexão.

2.1. Direito à reserva da intimidade da vida privada

O direito à reserva da intimidade da vida privada encontra-se consagrado nos arts. 26º, nº 3 da CRP, 80º, nº 1 do Código Civil, doravante CC, 164º, nº 1, 417º, nº 3, al. b) ambos do Código de Processo Civil, doravante CPC e, em termos laborais, no art. 16º, nº 1 do CT.

Pela invocação destes artigos apercebemo-nos que desde o Direito Constitucional até ao Direito Laboral, o legislador português tem em apreço que a vida privada do cidadão português deve ser objeto de normas específicas, que evidenciem a sua proteção. Neste sentido, o artigo 17º, nº 1, al. a) do CT refere, expressamente, que o empregador

não pode exigir a candidato a emprego ou a trabalhador que preste informações relativas à sua vida privada, exceto quando estas sejam estritamente necessárias e relevantes para avaliar da respetiva aptidão no que respeita à execução do contrato de trabalho e seja fornecida por escrito a respetiva fundamentação.

(20)

4

Neste sentido, podemos concluir que o direito em análise é um direito fundamental e de personalidade. De acordo com o Acórdão do Supremo Tribunal de Justiça1 “a tutela do direito à intimidade da vida privada desdobra-se em duas vertentes: a protecção contra a intromissão na esfera privada e a proibição de revelações a ela relativas”.

No entanto, não estamos perante um direito absoluto, como facilmente compreenderemos analisando o caso de figuras públicas. Vejamos: uma figura pública que prescindiu do seu direito à imagem, isto é, a um direito de personalidade, pode invocar posteriormente que quer ver cumprido o direito à reserva da intimidade da vida privada, quando foi a própria pessoa que o violou? Os direitos de personalidade gozam desta dicotomia, que deve ser analisada casuisticamente.

Em termos laborais, a violação deste direito pode ocorrer de diversas formas, por exemplo, o controlo do uso do telefone e e-mail da empresa para fins pessoais.

2.2. Direito à desconexão

Vivemos na era digital, em que o trabalhador, não raras as vezes, para ser considerado competente tem de estar disponível 24 sobre 24 horas. Precisamente no sentido oposto encontramos o direito à desconexão, que é a faculdade que assiste ao trabalhador de se abstrair do trabalho quando está fora dele.

Este direito não está consagrado expressamente na lei, porém encontramos diversos indícios dele no nosso ordenamento jurídico. A CRP no art. 59º, nº 1, als. b) e d) refere que todos os trabalhadores, sem distinção de idade, sexo, raça, cidadania,

território de origem, religião, convicções políticas ou ideológicas, têm direito a organização do trabalho em condições socialmente dignificantes, de forma a facultar a realização pessoal e a permitir a conciliação da atividade profissional com a vida familiar e ao repouso e aos lazeres, a um limite máximo da jornada de trabalho, ao descanso semanal e a férias periódicas pagas. Assim, podemos concluir que há uma

preocupação do legislador em desarticular a vida pessoal da vida profissional.

1_{Ac. com o processo nº 03B2361 (Relator Oliveira Barros), de 25 de setembro de 2002, disponível em:}

www.dgsi.pt/jstj.nsf/0/0e0db401e6e9d5dc80256dea004e8bba?OpenDocument (consultado pela última vez a 25/03/2019 pelas 21:54)

(21)

5

De igual modo, o CT apresenta vários indícios deste direito, nomeadamente, a limitação temporal do período de trabalho em 8 horas diárias e 40 horas semanais (203º, nº 1), a distinção tácita entre período de descanso e de trabalho (199º) e a atribuição de, pelo menos, um dia de descanso semanal (232º, nº 1). Por outro lado, a lei prevê mecanismos para a entidade empregadora garantir que o trabalhador se mantém disponível mesmo fora do seu período normal de trabalho como, o trabalho suplementar (226º, nº1).

De acordo com Teresa Coelho Moreira, existe a “divisão tripartida do dia em 8 horas para trabalhar, 8 horas para dormir e 8 horas para a realização social do trabalhador enquanto pessoa” (Moreira, 2017, p. 7). Este seria o cenário ideal, porém não realista. Se assim o fosse o direito à desconexão seria supérfluo.

A maioria dos trabalhadores acede ao e-mail e ao telefone do trabalho fora do mesmo. Instintivamente haverá a curiosidade de verificar se chegou algum e-mail que pode preocupar e perturbar as ditas “8 horas para a realização social do trabalhador enquanto pessoa”.

Esta é a realidade de algumas categorias profissionais. Exceto as que laboram numa fábrica, por exemplo, em que os trabalhadores cumprem o objetivo do dia, tal como encomendas, regressam a casa no final do dia e não têm a preocupação de receber um e-mail ou uma chamada visto que isso não são funções desempenhadas durante o período normal de trabalho.

De acordo com Francisco Liberal Fernandes (2017, p. 15):

o direito à desconexão significa que o trabalhador deixa de estar (e de sentir) obrigado a permanecer ligado ou disponível durante os seus períodos de descanso para responder às ordens ou solicitações de serviço que lhe são enviadas através dos meios eletrónicos. Porém, para produzir os efeitos que pretendem, este direito não pode limitar-se às relações entre o empregador ou superiores hierárquicos e o trabalhador (dimensão vertical), mas deve ser igualmente oponível aos colegas de trabalho, clientes, fornecedores ou subcontratantes (dimensão horizontal).

No mesmo sentido, Teresa Coelho Moreira refere (Moreira, 2017, p. 12):

o trabalhador tem direito a não ser incomodado permanentemente na sua vida privada e no seu tempo privado, criando-se um direito ao ‘isolamento’, à desconexão, a um repouso ‘efetivo’. Trata-se de uma desconexão técnica que, segundo Jean-Emmanuel Ray é favorável pois os trabalhadores que não têm um tempo livre não se tornam mais produtivos, nem mais fiéis à empresa.

(22)

6

Contudo, estamos perante um costume cada vez mais enraizado nos trabalhadores portugueses, isto é, ter hora de entrada, mas não hora de saída. O que deveria ser a exceção tornou-se a regra. Na maioria das situações são realizadas horas extras que não são contabilizadas porque “na maior parte dos casos, não há uma ordem expressa do empregador neste sentido” (Moreira, 2017, p. 14).

Na opinião de Teresa Coelho Moreira, com a qual concordamos, “não podemos deixar de atender que realizar diferentes tarefas simultaneamente pode necessitar de mais tempo e conduzir a mais erros na medida em que existem limites ao processamento mental do Homem” (Moreira, 2017, p. 13). Para além disso, pode desenvolver a Síndrome de

Burnout que “pode surgir como resposta a um stress laboral crónico, perante o qual a

pessoa sente que não tem estratégias adaptativas para lidar”2.

O Acórdão do Tribunal da Relação do Porto3_{refere que “o momento limite entre}

o ‘tempo de trabalho’ e o ‘tempo de descanso’ é aquele em que o trabalhador adquire o domínio absoluto e livre da gestão da sua vida privada”. O predito Acórdão vai mais longe e condena a entidade empregadora a uma indemnização por danos não patrimoniais:

a desorganização da vida pessoal e familiar do trabalhador, os danos causados à sua saúde, por interrupção ou falta de dormir o tempo necessário (num período de 3 anos e 5 meses), e a falta de privacidade, constituem o direito a ser indemnizado por danos não patrimoniais, no montante de €30.000,00.

Face ao exposto concluímos que, a maioria das fontes do direito se encontra em consonância, nomeadamente, a lei, a jurisprudência e a doutrina. No entanto, os usos e costumes parecem sobrepor-se pelas partes mais interessadas no direito à desconexão, os próprios trabalhadores. Não quer isto dizer que, por vezes, não seja a própria entidade empregadora que incentive, pelo exemplo, a trabalhar para além do período normal de trabalho.

2_{Para mais informações ver}

https://www.saudecuf.pt/mais-saude/artigo/sindrome-de-burnout-os-7-tipos-de-sinais-de-alerta-a-que-deve-estar-atento (consultado pela última vez a 14/08/2019 pelas 21:24)

3_{Ac. com o processo nº 2066/15.0T8PNF.P1 (Relator Domingos Morais), de 24 de janeiro de 2018,}

disponível em:

http://www.dgsi.pt/jtrp.nsf/56a6e7121657f91e80257cda00381fdf/6cd2c4a6745adb2a8025822e00407c 51?OpenDocument (consultado pela última vez a 01/04/2019 pelas 16h40)

(23)

7

2.3. Subordinação jurídica

A subordinação jurídica é típica de um contrato de trabalho subordinado e consiste no poder da entidade empregadora de vincular a prestação de trabalho do trabalhador através de diretivas, ordens e instruções. Em harmonia com o Acórdão do Tribunal da Relação de Coimbra4:

a subordinação jurídica típica de uma relação de trabalho subordinado implica uma posição de supremacia do credor da prestação de trabalho e a correlativa posição de sujeição do trabalhador, cuja conduta pessoal, na execução do contrato, está necessariamente dependente das ordens, regras ou orientações ditadas pelo empregador, dentro dos limites do contrato e das normas que o regem.

A entidade empregadora no exercício do poder de direção que lhe é atribuído pode designar o trabalhador ao exercício de funções não compreendidas na atividade contratada, desde que tal não implique modificação substancial da posição do

trabalhador (art. 120º, nº 1 CT). No entanto, a duração temporal da mobilidade funcional não deve ultrapassar dois anos (art. 120º, nº 3 CT) e salvo disposição em contrário, o trabalhador não adquire a categoria correspondente às funções temporariamente exercidas (120º, nº 5 CT).

Contudo, o CT no seu art. 119º prevê a mudança do trabalhador para uma categoria inferior àquela para que foi contratado mediante acordo, com fundamento em necessidade

premente da empresa ou do trabalhador, devendo ser autorizada pelo serviço com competência inspetiva do ministério responsável pela área laboral no caso de determinar diminuição da retribuição, atualmente a Autoridade para as Condições de Trabalho,

doravante ACT. Conforme refere Menezes Cordeiro citado no Acórdão do Supremo Tribunal de Justiça5_:

A categoria, em Direito do Trabalho, obedece aos princípios da efetividade (relevam as funções substancialmente prefiguradas e não os meros designações exteriores), da irreversibilidade (uma vez alcançada certa 4_{Ac. com o processo nº 5/13.1T4AGD.C1 (Relator Jorge Loureiro), de 3 de abril de 2014, disponível em:}

http://www.dgsi.pt/jtrc.nsf/8fe0e606d8f56b22802576c0005637dc/812bbe9f7644731c80257cb700486b 6c?OpenDocument (consultado pela última vez a 01/04/2019 pelas 19h02)

5_{Ac. com o processo nº 518/14.8TTBRG.G1.S1 (Relator Ferreira Pinto), de 16 de março de 2017,}

disponível em:

http://www.dgsi.pt/jstj.nsf/954f0ce6ad9dd8b980256b5f003fa814/02f9eba5bcb19203802580e90031f9e 7?OpenDocument (consultado pela última vez a 02/04/2019 pelas 22h02)

(24)

8 categoria, o trabalhador não pode ser despromovido) e do reconhecimento (através da classificação, a estatuto deve corresponder à categoria-função de maneira que a categoria estatuto assente nas funções efetivamente desempenhadas)” - (Menezes Cordeiro, Manual de Direito do Trabalho, pág. 669).

Isto é, o trabalhador é a peça móvel da relação laboral subordinada. Porém, o trabalhador goza de autonomia técnica, ou seja, a sujeição à autoridade e direção do

empregador não prejudica a autonomia técnica do trabalhador inerente à atividade prestada, nos termos das regras legais ou deontológicas aplicáveis, nos termos do art.

116º CT.

De acordo com Júlio Gomes (2007, pp. 320-321):

é praticamente unânime o entendimento segundo o qual o empregador goza da faculdade de controlar a correta execução da prestação de trabalho. Essa faculdade é, na nossa opinião, um corolário da subordinação jurídica e uma faceta ou aspecto instrumental do poder de direcção, não sendo necessário extraí-la (ou extraí-la também) de um qualquer poder organizativo. O que se passa é que não faria sentido um poder de dar ordens ou instruções desprovido da possibilidade de conferir se essas ordens ou instruções foram efectivamente acatadas.

A subordinação jurídica encontra o seu contraste no poder de direção, sendo esta um corolário da realização de um contrato de trabalho. Concordamos que de outra forma não faria sentido a realização de um contrato de trabalho propriamente dito. Conforme suprarreferido, “não faria sentido um poder de dar ordens ou instruções desprovido da possibilidade de conferir se essas ordens ou instruções foram efectivamente acatadas”.

Por último, consideramos que a subordinação jurídica e o poder de direção são duas realidades que devem estar em sintonia para possibilitar a configuração de uma relação laboral saudável. Não devem existir abusos de nenhuma das partes. Porém, a monitorização dos trabalhadores é uma realidade que tem o seu expoente máximo precisamente devido à subordinação jurídica. No entanto, devem ser avaliados os limites do direito da personalidade e da proteção de dados pessoais, sendo que ambos não devem ser violados. Esse é precisamente o mote para a realização da presente dissertação.

(25)

9

Princípios do Regulamento Geral de Proteção

de Dados e sua aplicabilidade na relação laboral

Desde o dia 4 de maio de 20166 que a União Europeia, doravante UE, tem um novo quadro normativo para a proteção de dados pessoais, contrariamente ao que existia até então, em que nos confrontávamos com 28 legislações diferentes, que dificultavam o exercício de direitos por parte dos titulares dos dados. Deste modo, desde 25 de maio de 20187, todo o espaço da UE passou a ter um ordenamento jurídico comum nesta matéria.

O Regulamento 2016/679 da UE, designado por RGPD, vem definir o regime jurídico da proteção de dados pessoais, estabelecendo novas obrigações e responsabilidades para todas as entidades, públicas e privadas e foi diretamente aplicável a partir de 25 de maio de 2018, conforme dispõe o art. 99º, nº 2 do predito regulamento.

O RGPD é dirigido a todos aqueles que entram em contacto com dados pessoais, por exemplo, diretores de sistemas de informação, técnicos de informática, auditores internos, empresários, administradores e diretores de empresas, responsáveis de recursos humanos, juristas e todos os profissionais com tarefas que impliquem a recolha e posterior tratamento de dados pessoais.

Contudo, a proteção de dados pessoais já era uma realidade com a Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, agora revogada pelo RGPD. Portugal também legislou nesta matéria com a Lei nº 67/98, de 26 de outubro, que foi recentemente revogada pelo art. 66º, nº 1 da Lei nº 58/2019, de 8 de agosto.

O RGPD definiu dados pessoais, no seu art. 4º, nº 1, como a informação relativa

a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular.

6_{Data de publicação e entrada em vigor do RGPD.} 7_{Data da produção de efeitos do RGPD.}

(26)

10

De acordo com a Comunicação da Comissão ao Parlamento Europeu e ao Conselho citado na obra “Comentário ao Regulamento Geral de Proteção de Dados” (Pinheiro, Coelho, Duarte, Gonçalves, & Gonçalves, 2018, p. 9):

“Os dados são algo cada vez mais valioso para a economia atual e são fundamentais para a vida quotidiana dos cidadãos. As novas regras constituem uma oportunidade única tanto para as empresas como para o público. As empresas, em especial as de menor dimensão, poderão beneficiar de um conjunto de regras único e inovador e «pôr as suas casas em ordem» em termos de dados pessoais para reconquistar a confiança dos consumidores e usar isso como vantagem competitiva na UE. Os cidadãos poderão beneficiar de uma maior proteção em matéria de dados pessoais e conseguir maior controlo sobre a forma como os dados são tratados pelas empresas.

Num mundo moderno com uma economia digital em crescimento, a União Europeia, os seus cidadãos e as suas empresas devem estar totalmente preparados para colher os benefícios e compreender as consequências da economia de dados. O novo regulamento oferece os instrumentos necessários para preparar a Europa para o século XXI.”

No entanto, já existiam instrumentos para proteger os dados pessoais, previstos em vários diplomas legais. A Carta dos Direitos Fundamentais da União Europeia, doravante CDFUE, prevê no seu art. 8º que todas as pessoas têm direito à proteção dos

dados de carácter pessoal que lhes digam respeito. A CRP dispõe no art. 35º que todos os cidadãos têm o direito de acesso aos dados informatizados que lhes digam respeito, podendo exigir a sua retificação e atualização, e o direito de conhecer a finalidade a que se destinam.

No âmbito da proteção de dados pessoais de trabalhadores, o CT refere no art. 17º que o candidato a emprego ou o trabalhador que haja fornecido informações de índole

pessoal goza do direito ao controlo dos respetivos dados pessoais, podendo tomar conhecimento do seu teor e dos fins a que se destinam, bem como exigir a sua retificação e atualização.

Neste sentido, encontramos vários direitos relativos à proteção de dados pessoais, anteriores ao RGPD, que assistem aos trabalhadores na vigência de um contrato de trabalho subordinado: conhecer a finalidade e o direito à sua retificação e atualização. Com a entrada em vigor do RGPD o trabalhador tem acesso a novos direitos que serão abordados de seguida.

(27)

11

3.1. A licitude, finalidade e proporcionalidade da recolha de dados

pessoais

Com a entrada em vigor do RGPD tipificaram-se novos fundamentos legais para tornar a recolha de dados e o seu tratamento legítimos.

No art. 6º do RGPD são enumerados os casos em que o tratamento de dados é lícito, este é-o na medida em que se verifiquem determinadas condições:

a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

b) O tratamento for necessário para a execução de um contrato no qual o titular dos dados é parte, ou para diligências pré-contratuais a pedido do titular dos dados;

c) O tratamento for necessário para o cumprimento de uma obrigação jurídica a que o responsável pelo tratamento esteja sujeito;

d) O tratamento for necessário para a defesa de interesses vitais do titular dos dados ou de outra pessoa singular;

e) O tratamento for necessário ao exercício de funções de interesse público ou ao exercício da autoridade pública de que está investido o responsável pelo tratamento;

f) O tratamento for necessário para efeito dos interesses legítimos prosseguidos pelo responsável pelo tratamento ou por terceiros, exceto se prevalecerem os interesses ou direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, em especial se o titular for uma criança.

No nosso caso em concreto, o contexto laboral, aplicamos a al. b) do predito artigo. Visto que, estamos perante a execução de um contrato de trabalho e “este fundamento pode permitir, por exemplo, o tratamento das informações relativas ao salário e dos dados relativos à conta bancária para que os salários possam ser pagos” (Pinheiro et al., 2018, p. 216). Para não falar da inscrição na Segurança Social, no Fundo de Compensação do Trabalho, no Fundo de Garantia de Compensação do Trabalhado, na Folha de Férias, na apólice do seguro de Acidentes de Trabalho e no processamento de salários pela contabilidade. Contudo, este pode não ser o único fundamento para o tratamento de dados em contexto laboral. Afinal, algumas das situações referidas anteriormente como a inscrição na Segurança Social e o Seguro de Acidentes de Trabalho constituem obrigações jurídicas da entidade empregadora, pelo que nestes casos

(28)

12

aplicamos a al. c). Pese embora poder ser realizada a recolha e o tratamento de dados pessoais com fundamento no consentimento, constante na al. a)8.

De acordo com o art. 5º, nº 1, al. a) os dados pessoais são objeto de um tratamento

lícito, leal e transparente em relação ao titular dos dados. Assim, o trabalhador na

vigência do contrato de trabalho disponibiliza os seus dados pessoais à entidade empregadora para as finalidades acima elencadas que são legítimas para a plena execução do contrato de trabalho.

Este entendimento é também elencado no considerando 44 do RGPD9 que refere que o tratamento deverá ser considerado lícito caso seja necessário no contexto de um

contrato ou da intenção de celebrar um contrato. Face ao exposto, concluímos que o

tratamento de dados no contexto de uma relação de trabalho para as finalidades expostas acima é lícito.

Em harmonia com o considerando 4 o tratamento dos dados pessoais deverá ser

concebido para servir as pessoas. O direito à proteção de dados pessoais não é absoluto; deve ser considerado em relação à sua função na sociedade e ser equilibrado com outros direitos fundamentais, em conformidade com o princípio da proporcionalidade.

O princípio da finalidade previsto na al. b) do nº 1 do art. 5º refere que os dados pessoais são recolhidos para finalidades determinadas, explícitas e legítimas e não

podendo ser tratados posteriormente de uma forma incompatível com essas finalidades; o tratamento posterior para fins de arquivo de interesse público, ou para fins de investigação científica ou histórica ou para fins estatísticos, não é considerado incompatível com as finalidades iniciais, em conformidade com o artigo 89º, nº 1 («limitação das finalidades»). Ou seja, os dados pessoais recolhidos na vigência de um

contrato de trabalho apenas são válidos para essa finalidade e todas as outras inerentes à boa execução do mesmo.

De acordo com Alexandre Sousa Pinheiro no Comentário ao Regulamento Geral de Proteção de Dados (Pinheiro et al., 2018, p. 207):

“o espaço do princípio da finalidade no direito a proteção de dados pessoais é crucial, na medida em que funciona como a primeira justificação para a realização de um tratamento de dados, impondo-se até ao consentimento. A realização de escolha de informação pessoal – ou qualquer outra operação de 8_{Esta matéria será abordada em profundidade no ponto seguinte.}

(29)

13 tratamento – deve estar respaldada numa razão-finalidade para, em função dela, se determinar a natureza necessária e não excessiva da informação pessoal recolhida.”

Portanto, um dado pessoal que foi recolhido com uma finalidade certa e determinada apenas deve ser utilizado com essa finalidade. De igual modo, “é entendimento doutrinário que julgamos correto considerar que não podem ser armazenados dados pessoais para ‘finalidades futuras que ainda não estão previstas no momento da recolha’” (Pinheiro et al., 2018, p. 208).

O considerando 50 vai mais longe e estabelece que o tratamento para outros fins

que não aqueles para os quais os dados pessoais tenham sido inicialmente recolhidos apenas deverá ser autorizado se for compatível com as finalidades para as quais os dados pessoais tenham sido inicialmente recolhidos. Nesse caso, não é necessário um fundamento jurídico distinto do que permitiu a recolha dos dados pessoais. Isto é, a

entidade empregadora celebra um seguro de acidentes de trabalho com determinada seguradora, à qual disponibiliza os dados pessoais dos seus trabalhadores. A entidade empregadora cessa o vínculo com a seguradora e estabelece novo contrato de seguro com uma seguradora distinta. Estamos perante a mesma finalidade pelo que nos parece legítimo que a entidade empregadora transmita os dados pessoais dos seus trabalhadores à nova seguradora. Uma vez que, é compatível com as finalidades para as quais os dados pessoais foram previamente recolhidos. “A questão que se pode colocar corresponde a saber se podem ser utilizados fundamentos jurídicos distintos, não se ‘são necessários’.” (Pinheiro et al., 2018, p. 209).

No nosso entendimento, consideramos que se os dados pessoais foram recolhidos com a finalidade e o fundamento jurídico da plena execução de um contrato de trabalho, não lhes pode ser dada outra finalidade. Não seria legítimo à luz do RGPD, utilizar os dados recolhidos no âmbito de um contrato de trabalho para fins de marketing e publicidade, por exemplo.

O princípio da proporcionalidade não tem uma definição expressa no RGPD, no entanto, o art. 5º, nº 1, al. c) refere que os dados pessoais são adequados, pertinentes e

limitados ao que é necessário relativamente às finalidades para as quais são tratados («minimização dos dados»).

(30)

14

De acordo com este princípio apenas devem ser recolhidos os dados necessários e suficientes para a finalidade concreta. O considerando 39 refere que os dados pessoais

deverão ser adequados, pertinentes e limitados ao necessário para os efeitos para os quais são tratados.

Sendo os dados pessoais recolhidos no âmbito de um contrato de trabalho, importa analisar o momento da recolha. Com a entrevista de emprego e sem, a priori, saber se o trabalhador ingressará na empresa, parece-nos que apenas faz sentido recolher o número de telemóvel e/ou o e-mail, que normalmente constam do currículo enviado pelo trabalhador. Isto porque, na eventualidade de ser o escolhido para a vaga de emprego tem de existir algum meio de comunicar com o futuro trabalhador. No caso oposto, isto é, não ser a pessoa a preencher a vaga, informar o trabalhador disso mesmo será um ato cordial que concordamos que se enquadre no princípio da proporcionalidade.

No início do contrato de trabalho cabe à entidade empregadora cumprir determinadas obrigações jurídicas como, por exemplo: inscrever o trabalhador na Segurança Social, no Fundo de Compensação do Trabalho e no Fundo de Garantia de Compensação do Trabalho, no seguro de acidentes de trabalho e realizar a consulta de medicina no trabalho.

Durante o contrato de trabalho a entidade empregadora deve realizar as prestações contributivas obrigatórias para a Segurança Social, enviar a folha de férias e as informações relativas ao salário para a contabilidade, preencher o Relatório Único e eventuais inquéritos estatísticos que sejam disponibilizados pelo Instituto Nacional de Estatística.

No término do contrato de trabalho, a entidade empregadora pode conservar os dados pessoais do trabalhador enquanto não decorrer o prazo de prescrição dos direitos

correspetivos, de forma a comprovar o cumprimento de obrigações contratuais ou de outra natureza, ao abrigo do disposto no art. 21º, nº 3 da Lei nº 58/2019, de 8 de agosto.

Relativamente aos dados referentes à carreira contributiva para efeitos de reforma, o nº 6 do mesmo artigo não estabelece um limite de prazo.

(31)

15

3.2. O consentimento

De acordo com o Dicionário da Língua Portuguesa,10 “consentimento” é um substantivo masculino, que exprime a manifestação (nosso negrito) que autoriza algo.

O consentimento é um dos fundamentos legais que possibilita o tratamento de dados pessoais, quando este não é realizado devido a um contrato (art. 6º, nº 1, al. b), uma obrigação jurídica (art. 6º, nº 1, al. c), a interesses vitais (art. 6º, nº 1, al. d), interesse público ou ao exercício da autoridade pública (art. 6º, nº 1, al. e), ou interesses legítimos (art. 6º, nº 1, al. f).

O tratamento baseado no consentimento é lícito em harmonia com o art. 6º, nº 1, al. a). Deste modo, esgotadas todas hipóteses possíveis de tratamento suprarreferidas aplica-se o consentimento, se a este houver lugar.

O art. 4º, nº 11 define consentimento do titular dos dados como uma manifestação (nosso negrito) de vontade, livre, específica, informada e explícita, pela qual o titular dos

dados aceita, mediante declaração ou ato positivo inequívoco (nosso sublinhado), que os dados pessoais que lhe dizem respeito sejam objeto de tratamento. Desta definição

estabelecemos as formalidades que a manifestação de vontade que é o consentimento necessita para ser válido, ou seja, este tem de ser: livre, específico, informado e explícito.

No entanto, em harmonia com o Parecer 15/2011 do Grupo de Trabalho do Artigo 29º11, doravante GT29, sobre a definição de consentimento (p. 7):

O conceito de consentimento nem sempre foi transposto de forma literal ao nível nacional. A título exemplificativo, refira-se que o consentimento, como conceito geral, não foi definido na legislação francesa (nosso negrito) relativa à proteção de dados. Não obstante, o seu significado tem sido explicado de forma precisa e consistente na jurisprudência da autoridade de proteção de dados (CNIL), por referência à definição contida na Directiva da Proteção de Dados Pessoais. No Reino Unido (nosso negrito), o conceito de consentimento tem sido desenvolvido pela jurisprudência por referência ao texto da directiva. Para além disso, o consentimento tem sido por vezes explicitamente definido em sectores específicos, como por exemplo no contexto da privacidade electrónica e da administração ou saúde em linha. O conceito desenvolvido na legislação específica irá, desta forma, interagir com o conceito desenvolvido na legislação geral de protecção de dados.

10_{https://dicionario.priberam.org/consentimento (consultado pela última vez a 23/04/2019 pelas 16h10)} 11_{Grupo instituído ao abrigo do art. 29º da revogada Diretiva 95/46/CE, foi órgão consultivo europeu}

independente em matéria de proteção de dados e privacidade. Este deu lugar, após 25 de maio de 2018 com a eficácia plena do RGPD, ao Comité Europeu para a Proteção de Dados.

(32)

16

Podemos concluir que, pelo menos, desde 2011 os Estados Membros da UE têm-se esforçado, ainda no âmbito da Diretiva 95/46/CE ora revogada, em definir o conceito de consentimento, que é comum a outras áreas do direito, em particular do direito das

obrigações, em harmonia com o Parecer 15/2011. Vejamos, em harmonia com o art.

1682º, nº 1 do CC, a alienação ou oneração de móveis comuns cuja administração caiba

aos dois cônjuges carece do consentimento (nosso negrito) de ambos, salvo se se tratar de ato de administração ordinária. Estando definido no art. 1684º, nº 2 do mesmo

diploma que a forma do consentimento é a exigida para a procuração, isto é, instrumento

público, por documento escrito e assinado pelo representado com reconhecimento presencial da letra e assinatura ou por documento autenticado, conforme dispõe o art.

116º, nº 1 do Código do Notariado.

Para além de todas as formalidades acima referidas torna-se evidente que é necessário ocorrer uma manifestação expressa por parte do titular dos dados, ou seja, não basta o mero assentimento12_{, tem de ocorrer uma “declaração ou ato positivo inequívoco”}

por parte do titular dos dados, seja uma assinatura, um clique no rato do computador, entre outros. O consentimento não pode ser presumido tem de ser dado sem margem para dúvidas. Assim também o entende Borja Adsuara Varela (2016, p. 152) ao referir as formas de expressar o consentimento: “a) mediante uma declaração e b) mediante uma ação. Logo não há lugar ao (mal) chamado consentimento tácito”.

De acordo com o GT29, nas “Orientações relativas ao consentimento na aceção do Regulamento (EU) 2016/679”13_{, doravante WP259 rev.01, “o elemento «livre»}

implica uma verdadeira escolha e controlo para o titular dos dados. Regra geral (nosso sublinhado), o RGPD prevê que se o titular dos dados não puder exercer uma verdadeira escolha, se sentir coagido a dar o consentimento ou sofrer consequências negativas caso não consinta, então o consentimento não é válido”.

O elemento “livre” em contexto laboral é difícil de comprovar “atendendo à dependência (subordinação jurídica) que resulta da relação empregador/trabalhador. É improvável que o titular dos dados possa recusar ao seu empregador o consentimento para o tratamento dos dados sem que haja medo ou risco real de consequências negativas

12_{Ato de assentir. Anuência. https://dicionario.priberam.org/assentimento (consultado pela última vez a}

23/04/2019 pelas 16h18)

13_{Cfr. https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=623051 (consultado pela}

(33)

17

decorrentes da recusa”, conforme dispõe o WP259 rev.01 (p. 7). Assim, no âmbito laboral “ou o tratamento é necessário à execução de um contrato, ou deverá ser obtido o consentimento (livre)”, de acordo com o Parecer 15/2011 (p. 9).

Em harmonia com Carlos Domènech (2017, p. 157) “o recurso ao consentimento deve limitar-se aos casos em que o trabalhador pode expressar-se de forma totalmente livre e tenha a possibilidade de retificar posteriormente sem ser prejudicado por isso”. Vejamos o exemplo 5 do WP259 rev.01 (p. 8):

Uma equipa de filmagem pretende filmar determinada parte de um escritório. O empregador solicita o consentimento de todos os trabalhadores que se sentam nessa zona do escritório para serem filmados, uma vez que podem aparecer em segundo plano nas filmagens do vídeo. Os trabalhadores que não quiserem ser filmados não serão de forma alguma penalizados, uma vez que serão colocados noutro local de trabalho equivalente numa outra zona do edifício enquanto durar a filmagem.

No exemplo acima, o consentimento é dado de forma totalmente livre. Afinal não existe nenhuma consequência para quem não o der. Simplesmente serão colocados noutro local de trabalho enquanto decorrer a filmagem, o que nos parece legítimo. Diferente seria se a entidade empregadora ao solicitar o consentimento, informasse que quem não o prestasse sofreria uma penalização na remuneração desse mês, aí estaríamos perante uma pressão por parte da entidade empregadora. Esta posição é apoiada pelo WP259 rev.01 (p.8) que refere que “o consentimento não será dado livremente nos casos em que exista qualquer elemento de obrigatoriedade, pressão, incapacidade de exercício da livre vontade”.

Importa ainda avaliar com a máxima atenção se a execução de um contrato,

inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato,

conforme dispõe o art. 7º, nº 4. De acordo com o considerando 43:

presume-se (nosso negrito) que o consentimento não é dado de livre vontade

se não for possível dar consentimento separadamente para diferentes operações de tratamento de dados pessoais, ainda que seja adequado no caso específico, ou se a execução de um contrato, incluindo a prestação de um serviço, depender do consentimento apesar de o consentimento não ser necessário para a mesma execução.

(34)

18

Assim, “o RGPD assegura que o tratamento dos dados pessoais relativamente ao qual se solicita o consentimento não pode ser direta ou indiretamente uma contrapartida da execução de um contrato”, isto é “procura assegurar que a finalidade do tratamento dos dados pessoais não está camuflada nem agregada à execução de um contrato ou à prestação de um serviço para os quais esses dados pessoais não são necessários”, conforme dispõe o WP259 rev.01 (p. 8).

O Parecer 1/2017 do GT29 sobre a proposta de regulamento relativo à privacidade e às comunicações eletrónicas (2002/58/CE)14 (p. 10) saúda a clarificação que “o acesso

e a telefonia (móvel) são serviços essenciais e que os prestadores desses serviços não podem «obrigar» os seus clientes a dar o seu consentimento para quaisquer operações de tratamento de dados desnecessárias para a prestação do serviço essencial em si”. Esse parecer remete-nos para o considerando 18 que refere que o RGPD

não se aplica a atividades exclusivamente pessoais ou domésticas. Todavia, aplica-se aos responsáveis pelo tratamento e subcontratantes que forneçam os meios para o tratamento dos dados pessoais dessas atividades pessoais ou domésticas.

Resumindo, o GT29 no WP259 rev.01 (p. 9) refere que:

o artigo 7º, nº 4, só é aplicável se os dados solicitados não forem necessários para a execução do contrato (incluindo a prestação de um serviço) e a execução desse contrato ficar subordinada à obtenção desses dados com base no consentimento. Em contrapartida, se o tratamento for necessário para a execução do contrato (incluindo a prestação de um serviço), então o art. 7º, nº 4, não é aplicável

No contexto laboral, de acordo com o WP259 rev.01 (p. 9):

este fundamento pode permitir, por exemplo, o tratamento das informações relativas ao salário e dos dados relativos à conta bancária para que os salários possam ser pagos. Tem de existir uma relação direta e objetiva entre o tratamento dos dados e a finalidade da execução do contrato.

Vejamos o exemplo 6 do mesmo parecer (pp. 9 – 10):

Um banco solicita aos clientes consentimento para que terceiros possam utilizar os seus dados de pagamento para fins de comercialização direta. Esta atividade de tratamento não é necessária para a execução do contrato nem para a prestação dos serviços bancários normais. Se a recusa do cliente em consentir o tratamento para estes fins implicar a não prestação dos serviços

14_{Cfr. https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610140 (consultado pela}

(35)

19 bancários, o encerramento da conta bancária ou, dependendo do caso, um aumento de comissões, o consentimento não pode ser dado livremente.

Isto quer dizer que o consentimento para o tratamento de dados pessoais é prestado livremente quando o portador dos dados não sofre nenhum tipo de consequência se não o prestar. “A final, não existem consentimentos obrigatórios”, conforme refere Alexandre Sousa Pinheiro (2018, p. 167).

Esclarece ainda o Parecer 1/2017 do GT29 (p. 33) que as normas do RGPD “são igualmente aplicáveis aos utilizadores finais que sejam pessoas coletivas. No entanto, “o empregador não pode, na maioria dos casos, dar o seu consentimento em nome dos seus trabalhadores (…) dada a relação de poder desigual (…) esse consentimento não será válido na medida em que não foi prestado de forma livre”.

O WP259 rev.01 (p.10) estabelece que:

Em todo o caso, o ónus da prova no artigo 7º, nº 4 recai sobre o responsável pelo tratamento. Esta norma reflete o princípio geral da responsabilização (nosso negrito) que permeia todo o RGPD. Contudo, quando o artigo 7º, nº 4, for aplicável, será mais difícil para o responsável pelo tratamento provar que o consentimento foi dado de livre vontade pelo titular dos dados.

Deste modo, o responsável pelo tratamento no momento da recolha dos dados pessoais tem de estabelecer uma forma de o consentimento ser prestado pelo titular dos dados de forma inequívoca e irrepreensível. De forma a comprovar a qualquer momento que o consentimento foi prestado livremente e sem qualquer tipo de pressão, invocação de qualquer tipo de prejuízo, entre outros. Deste modo, de acordo com o mesmo parecer (p. 10):

o consentimento não pode ser considerado livre se o responsável pelo tratamento alegar que existe uma escolha entre o seu serviço que inclui consentimento para a utilização dos dados pessoais para fins complementares (nosso negrito), por um lado, e um serviço equivalente oferecido por um responsável pelo tratamento diferente, por outro.

Em harmonia com o suprarreferido, podemos concluir que o consentimento não seria prestado livremente e, por conseguinte, de harmonia com o RGPD.

(36)

20

De acordo com Alexandre Sousa Pinheiro (2018, p. 167):

O titular dos dados não pode ficar numa posição de coação na celebração de contratos ou de qualquer outra forma de aceder a bens ou serviços.

Ou seja, não pode ficar privado do acesso a um bem ou serviço se não consentir no tratamento de dados para finalidades distintas daquelas que estão a ser prosseguidas com a sua aquisição originária.

Retomemos o exemplo 515 do WP259 rev.01. Nesse caso não há qualquer prejuízo para os trabalhadores que decidem ir para outra sala, e consequentemente, não serem filmados. Os que optaram por ficar não serão beneficiados, nem prejudicados, assim como os que decidiram ir para outra sala. No entanto, tendo em conta que o ónus da prova recai sobre o responsável pelo tratamento, o consentimento deveria ser prestado através de um formulário escrito, de forma a futuramente ser possível comprovar que o consentimento foi efetivamente prestado livremente.

Todavia, “o RGPD não deve ser interpretado de forma a colocar em crise comportamentos sociais habituais que moldam a vida nas comunidades que compõem os Estados-Membros”, isto é, o RGPD não deve ser um “elemento bloqueador da informalidade social” (Pinheiro et al., 2018, p. 169). Assim, na opinião deste autor, com a qual concordamos, a prestação de consentimento por escrito “dependerá da ocasião social em que for exigida”. Sendo que, “no caso do consentimento oral, o elemento testemunhal pode substituir a necessidade de gravar declarações, o que só por si já constitui um tratamento de dados com caráter significativo e sensível” (Pinheiro et al., 2018, p. 169).

O consentimento deve ainda beneficiar de granularidade, pois “um serviço pode envolver múltiplas operações de tratamento para mais do que uma finalidade. Nestes casos, os titulares dos dados devem poder escolher quais são as finalidades que aceitam e não ter de dar consentimento para um conjunto de finalidades de tratamento”, em harmonia com o parecer em análise (p. 11). Isto quer dizer, que não é admissível um pedido de consentimento genérico para todo e quaisquer fins.

De acordo com Alexandre Sousa Pinheiro (2018, p. 168), “a especificidade do consentimento apresenta uma relação muito clara com a finalidade ou o conjunto de finalidades prosseguido. Neste sentido concretiza de forma mais próxima do princípio da

(37)

21

finalidade a característica de ‘liberdade’ do consentimento”. Reparemos no exemplo 7 do WP259 rev.01 (p. 11):

Num mesmo pedido de consentimento, o retalhista solicita aos clientes consentimento para utilizar os dados destes para lhes enviar publicidade via correio eletrónico e também para partilhar esses dados com outras empresas do grupo. Este consentimento não é granular, uma vez que não separa os consentimentos para estas duas finalidades distintas; por conseguinte, o consentimento não é válido. Neste caso, deve ser recolhido um consentimento específico para enviar os dados de contacto dos clientes para os parceiros comerciais. Esse consentimento específico será considerado válido para cada parceiro (…), cuja identidade tem de ser fornecida ao titular dos dados aquando da recolha do seu consentimento, desde que lhes seja enviado com a mesma finalidade (neste exemplo: a finalidade é a publicidade).

Isto é, “esta granularidade está estritamente relacionada com a necessidade de o consentimento ser específico”. Deste modo “quando o tratamento dos dados for realizado procurando alcançar várias finalidades, a solução para satisfazer as condições inerentes a um consentimento válido passa pela granularidade, ou seja, a separação dessas finalidades e a obtenção de consentimento para cada uma das delas”, em harmonia com o parecer suprarreferido.

O art. 6º, n.º 1, al. a) refere que o tratamento só é lícito se o titular dos dados tiver

dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas (nosso negrito). De acordo com o WP259 rev.01 (p. 13):

Este requisito (…) permanece estreitamente ligado ao requisito de «consentimento informado». Ao mesmo tempo, deve ser interpretado em consonância com o requisito de «granularidade» aquando da obtenção de consentimento «livre». Resumindo, para cumprir o elemento «específico», o responsável pelo tratamento deve aplicar:

i) Especificidade em função da finalidade como salvaguarda contra o desvirtuamento da função,

ii) Granularidade nos pedidos de consentimento, e

iii) Separação clara entre as informações relacionadas com a obtenção de consentimento para atividades de tratamento de dados e as informações sobre outras questões.

(…)

Em consonância com o conceito de limitação da finalidade, com o artigo 5.º, n.º 1, alínea b), e com o considerando 32, o consentimento pode abranger operações diferentes, desde que essas operações sirvam a mesma finalidade.

Assim, se posteriormente à recolha dos dados pessoais para uma finalidade específica surgir uma nova finalidade, deverá ser obtido novo consentimento para essa

(38)

22

finalidade, “exceto se existir outro fundamento legal que reflita melhor a situação”, em harmonia com o mesmo parecer.

No âmbito da retirada/revogação do consentimento o RGPD é claro o

consentimento deve ser tão fácil de retirar quanto de dar, conforme dispõe o art. 7º, nº 3.

Assim, o titular dos dados não pode ser prejudicado pela retirada do consentimento, caso contrário não podemos considerar que o consentimento foi prestado de livre vontade. Assim, em harmonia com o considerando 42 “não se deverá considerar que o consentimento foi dado de livre vontade se o titular dos dados não dispuser de uma escolha verdadeira ou livre, ou não puder recusar (nosso negrito), nem retirar (nosso negrito) o consentimento sem ser prejudicado”.

Para melhor compreensão, vejamos o exemplo 8 do WP259 rev.01 (p. 12):

Ao descarregar uma aplicação para telemóvel relativa a hábitos de vida, a aplicação solicita consentimento para aceder ao acelerómetro do telefone. Não se trata de algo necessário para a aplicação funcionar, mas é útil para os responsáveis pelo tratamento que pretendem saber mais acerca dos movimentos e dos níveis de atividade dos utilizadores. Posteriormente, se a utilizadora revogar esse consentimento, descobre que a aplicação só funciona parcialmente. Estamos perante um exemplo de prejuízo na aceção do considerando 42, o que significa que o consentimento nunca foi obtido

validamente (nosso negrito) (e logo, o responsável pelo tratamento tem de

apagar todos os dados pessoais acerca dos movimentos dos utilizadores recolhidos desta forma).

Com este exemplo concluímos que, o consentimento deve ser retirado sem prejuízos e “sem ter que alegar ou provar a existência de uma causa justificativa, do mesmo modo que não teve nem de alegar nem de provar uma causa ao interessado para prestar o seu consentimento”, (Mañas et al., 2016, p. 161). No entanto, a retirada do consentimento não tem efeitos retroativos. Esta “não compromete a licitude do tratamento efetuado com base no consentimento previamente dado”, em harmonia com o art. 7º, nº 3.

Assim, “regra geral, se o consentimento for retirado, todas as operações de tratamento de dados baseadas nesse consentimento e que ocorreram antes da retirada do consentimento (…) permanecem lícitas”. Por conseguinte, “o responsável pelo tratamento deve parar as ações de tratamento em causa”. No entanto, “a retirada do consentimento não significa que o responsável pelo tratamento tenha de apagar os dados

(39)

23

tratados para uma finalidade que se baseia na execução do contrato celebrado com o titular dos dados”, em harmonia com o WP259 rev.01 (p. 25).

Relativamente às condições aplicáveis ao consentimento, podemos resumir em cinco pontos elencados por Alexandre Sousa Pinheiro (2018, p. 172):

a. Compete ao responsável pelo tratamento provar a prestação do consentimento pelo titular dos dados (n.º 1);

b. Os pedidos de consentimento devem encontrar-se formulados de um modo claro e simples, distinguindo-se as solicitações de consentimento de outras matérias eventualmente contidas em declarações escritas (n.º 2); c. O titular dos dados pode retirar o consentimento, a qualquer momento, considerando-se lícitos os tratamentos até aí feitos com base nesta condição de legitimidade (n.º 3);

d. O consentimento deve ser tão fácil de retirar quanto de fornecer (n.º 3); e. Deve verificar-se se a prestação de certo serviço está dependente da recolha de atos de consentimento que respeitem a dados pessoais que não sejam necessários para a execução desse contrato (n.º 4).

3.3. Os novos direitos dos titulares dos dados estabelecidos no

RGPD

O RGPD estabeleceu novos direitos aos titulares dos dados nomeadamente: direito de informação sobre o tratamento de dados (arts. 13º e 14º); direito de acesso (art. 15º) e o procedimento equitativo para tal acesso (art. 12º/2 e ss.); direito de retificação, limitação e apagamento (arts. 16º, 18º, 17º + 19º); direito de portabilidade de dados (art. 20º + 12º/3 e ss.). Para além disso, o RGPD incluiu o princípio da transparência que consuma o exercício dos direitos referidos.

O princípio da transparência não se encontra definido no RGPD, no entanto o considerando 39 estabelece como deve ser cumprido o tratamento de dados de forma transparente, que passamos a citar:

Deverá ser transparente para as pessoas singulares que os dados pessoais que lhes dizem respeito são recolhidos, utilizados, consultados ou sujeitos a qualquer outro tipo de tratamento e a medida em que os dados pessoais são ou virão a ser tratados. O princípio da transparência exige que as informações ou comunicações relacionadas com o tratamento desses dados pessoais sejam de fácil acesso e compreensão, e formuladas numa linguagem clara e simples.

O direito de informação sobre o tratamento de dados coaduna-se em verdadeiras “checklists” a cumprir e a renovar, quando assim for necessário. Este direito

(40)

subdivide-24

se em informações a facultar quando os dados pessoais: são recolhidos junto do titular

ou não são recolhidos junto do titular, arts. 13º e 14º, respetivamente.

Deste modo, o art. 13º refere, de forma taxativa, as informações que o responsável pelo tratamento tem de facultar ao titular dos dados aquando da recolha desses dados, que passamos a citar:

a) A identidade e os contactos do responsável pelo tratamento e, se for caso disso, do seu representante;

b) Os contactos do encarregado da proteção de dados, se for caso disso; c) As finalidades do tratamento a que os dados pessoais se destinam, bem como o fundamento jurídico para o tratamento;

d) Se o tratamento dos dados se basear no artigo 6º, nº 1, alínea f), os interesses legítimos do responsável pelo tratamento ou de um terceiro;

e) Os destinatários ou categorias de destinatários dos dados pessoais, se os houver;

f) Se for caso disso, o facto de o responsável pelo tratamento tencionar transferir dados pessoais para um país terceiro ou uma organização internacional, e a existência ou não de uma decisão de adequação adotada pela Comissão ou, no caso das transferências mencionadas nos artigos 46º ou 47º, ou no artigo 49º, nº 1, segundo parágrafo, a referência às garantias apropriadas ou adequadas e aos meios de obter cópia das mesmas, ou onde foram disponibilizadas.

(…)

a) Prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;

b) A existência do direito de solicitar ao responsável pelo tratamento acesso aos dados pessoais que lhe digam respeito, bem como a sua retificação ou o seu apagamento, e a limitação do tratamento no que disser respeito ao titular dos dados, ou do direito de se opor ao tratamento, bem como do direito à portabilidade dos dados;

c) Se o tratamento dos dados se basear no artigo 6º, nº 1, alínea a), ou no artigo 9º, nº 2, alínea a), a existência do direito de retirar consentimento em qualquer altura, sem comprometer a licitude do tratamento efetuado com base no consentimento previamente dado;

d) O direito de apresentar reclamação a uma autoridade de controlo;

e) Se a comunicação de dados pessoais constitui ou não uma obrigação legal ou contratual, ou um requisito necessário para celebrar um contrato, bem como se o titular está obrigado a fornecer os dados pessoais e as eventuais consequências de não fornecer esses dados;

f) A existência de decisões automatizadas, incluindo a definição de perfis, referida no artigo 22º, nos_{1 e 4, e, pelo menos nesses casos, informações úteis} relativas à lógica subjacente, bem como a importância e as consequências previstas de tal tratamento para o titular dos dados.